Sintaxis de Codigo PHP y MySQL

Hola a Todos
He creado 2 variables tipo Parametro URL. Requiero que los registros sean filtrados por los valores de estas 2 variables. Sin embargo, en el codigo tengo

SELECT blablabla.*, tabla.*, otratabla.*,
FROM blablabla, tabla, otratabla,
WHERE blablabla.idtabla = $_GET['variable1'] AND blablabla.idotratabla $_GET['variable2']

Las tablas tienen relaciones por llave foranea

Trate de asignar los valores GET a variables, pero no me muestra ningun registro, cuando deberia hacerlo
Obviamente es un error de sintaxis. Pero no doy con cual es.

Aclaro, hasta ahora comienzo a aprender a programar por mi propia cuenta

Te falta un sigo igual en el segundo operando del AND:

Código PHP :

$sql = "SELECT blablabla.*, tabla.*, otratabla.*,
FROM blablabla, tabla, otratabla,
WHERE blablabla.idtabla = ".$_GET['variable1']." AND blablabla.idotratabla = ".$_GET['variable2']."";

Pero debo advertirte que como lo estás haciendo, la consulta es susceptible a inyección de código SQL.

Que me podrias sugerir entonces?

SebastianMateus escribió:

Disculpa, en mi mensaje anterior planteé dos cuestiones ¿por cuál de ellas estás preguntando?.

la de la inyección SQL

Como mínimo, hacer pasar las variables $_GET que intervienen en la consulta SQL por la función mysql_real_escape_string().

Idealmente, además de lo anterior, deberías controlar que esas variables realmente contengan el tipo correcto de datos que la consulta requiere, es decir, si en la consulta SQL necesitas un número entero, que la variable $_GET tenga un número entero y no cualquier otra sarasa.

Ok, vamos a ver como se pone, Gracias!!!!